Google tacle Google pour des failles Android qui ne sont pas corrigées

Pierre Dandumont |

Le groupe Project Zero, une équipe dédiée à la sécurité employée par Google, vient de tacler… Google. En effet, des failles découvertes il y a plusieurs mois et corrigées par ARM, à l'origine de l'architecture des puces, n'ont pas encore été prises en charge par Google pour les mises à jour de son système, Android.

Des failles dans les GPU ARM

Le problème d'origine touche les GPU fournis par ARM à ses clients : une faille dans un pilote permettait d'écrire dans une zone mémoire normalement en lecture seule. Un des membres de Project Zero a ensuite trouvé cinq autres failles liées. Revenons d'abord sur les GPU ARM : ARM fournit des CPU à ses clients (les Cortex), mais aussi des GPU, la série des Mali. Ils sont intégrés dans les systèmes sur puce de plusieurs fabricants majeurs : Google (dans ses Pixel 6 et 7), HiSilicon (qui équipe les smartphones Huawei), Mediatek (une marque très courante en entrée de gamme) ou Samsung, avec une bonne partie de ses Exynos1. Le problème ne touche par contre pas Qualcomm et ses Snapdragon, car la marque intègre ses propres GPU Adreno2, ni celles d'Apple.

Le Pixel 7 de Google est vulnérable.

Les chercheurs ont prévenu ARM au sujet des failles, découvertes en juin et en juillet 2022, et la société a corrigé rapidement le problème (en juillet et en août 2022) en publiant les correctifs. Le problème, c'est que Google n'a pas encore poussé la mise à jour dans ses correctifs de sécurité mensuels, ce qui implique que, pour le moment, les smartphones équipés d'un GPU Mali sont vulnérables.

Une des raisons du problème vient de la gestion des pilotes sous Android : ils dépendent en partie des mises à jour de l'OS et ne sont pas distribués seuls, comme sous Windows. Ensuite, et c'est ce que note Project Zero, la chaîne est assez longue : le fabricant doit corriger la faille, Google doit appliquer la correction dans ses correctifs, et les fabricants doivent pousser les correctifs (quand ils le font). Et cette longue chaîne n'est pas compatible avec la politique de divulgation des chercheurs (qui date de 2021), qui est de garder les failles secrètes pendant 30 jours après la correction.

Malheureusement pour les utilisateurs de smartphones Android, il n'y a pas de solution miracle actuellement. Le nombre d'acteurs impliqué sur certaines failles ralentit le processus pour la correction, et une faille dans un pilote est probablement un des pires cas possibles, spécialement sur des composants utilisés aussi largement que les GPU Mali.

Si Apple n'est pas concerné par ces failles, elle est en train de tester des mises à jour de sécurités « rapides » permettant de combler plus promptement des vulnérabilités.


  1. Samsung travaille essentiellement avec ARM, mais quelques Exynos possèdent un GPU AMD RDNA2.  ↩︎

  2. Une anagramme de Radeon, car Qualcomm a basé ses GPU sur des puces rachetées à ATi il y a de nombreuses années.  ↩︎


avatar Sgt. Pepper | 

Oui mais « aPpLe c CHeR » 🤭

avatar DrStax | 

@Sgt. Pepper

Dans ce cas précis Apple est loin d’être un bon élève au niveau rapidité de correction des failles.

avatar Sgt. Pepper | 

@DrStax

1 - sources objectives?
« bon élève » très subjectif comme terme .

2 - Apple améliore le process avec les maj de sécurité rapides
https://www.igen.fr/ios/2022/11/ios-162-nouveau-test-pour-les-mises-jour-de-securite-urgentes-133995

avatar DrStax | 

@Sgt. Pepper

Je sais qu’il y avait déjà eu un article à ce sujet mais en recherchant j’ai trouver ça :

https://securite.developpez.com/actu/331252/Les-developpeurs-Linux-corrigent-les-failles-de-securite-plus-rapidement-qu-Apple-Google-ou-meme-Microsoft-selon-un-rapport-du-Google-Project-Zero/?amp

Il y’a pire mais il y a mieux et tant mieux si il s’améliore avec leur nouveau système de maj 👌

avatar Insomnia | 

@Sgt. Pepper

Apple n’est pas un très bon élève, suffit de voir la somme qu’ils proposent pour les failles trouvés et certaines failles non corrigées sauf quand le découvreur se décide de le diffuser sur la toile. Par contre Apple reste assez rapide sur la majorité de ces failles ou bugs c’est un fait.

avatar superdalton | 

@Sgt. Pepper

Ouais Apple c’est cher et pas mieux corrigé que du moins cher … du coup ton commentaire à part être celui du big fanboy est surtout celui d’un débile qui vois pas plus loin que le bout de son nez et encore…

avatar bidibout | 

La sécurité ça coûte cher et ça ne rapporte rien (financièrement) et j'ai l'impression que pas mal de boites traînent de plus en plus les pieds pour corriger certaines failles, et ne parlons pas de la sécurité de certains services.

avatar TrollMan06 | 

@bidibout

🤦‍♂️ bien sûr que ça rapporte vu que ça peu être un argument de vente

avatar bidibout | 

@TrollMan06

Ça peut certes être un argument mais on voit bien au fil du temps que ce n'est pas toujours appliqué.

avatar raoolito | 

je croyais que google pouvait pousser les mises a jour de secu et autre et que ca se passait de manière transparente ?

avatar DrStax | 

@raoolito

Avant Android 12 c’est le cas mais c’était au bon vouloir du constructeur. Avec Android 12 Google pourra pousser lui même directement les mise à jour système critiques. Encore faut-il les corriger du coup.

avatar Ensearque | 

@raoolito

La faille est à un niveau très très bas, étant liée au matériel.
Les mises à jour que Google peut déployer très rapidement sont celles liés à l’OS ou API/IP

avatar DG33 | 

@raoolito

Une mise à jour de sécu ça arrive même souvent par SMS 😉

ASSURANCE MALADIE :
Mettez à jour votre carte vitale.
Remplissez ce formulaire afin de rester couvert :
https://ameliservice.nette

avatar raoolito | 

@DG33

vous voulez parler de nos collissimo jamais commandés qui sont en attente de validation? ou de notre abonnement netflix qu’on a pas qui risque d’etre interrompu ?

😄

avatar DG33 | 

@raoolito

J’ai un Chrono tout frais qui m’attend, je l’offre à qui veut :

Chronopost : Votre colis a rencontré une erreur lors de sa livraison .
Pour confirmer l'acheminement de celui-ci rendez-vous sur : verif-colis.infox

avatar raoolito | 

@DG33

je prend! juste apres avoir réactivé mon compte formation que je n’ai pas en tant qu’indépendant 🤪

avatar DG33 | 

@raoolito

Il y a de superbes sessions de formation en cyber risque et cyber sécurité 😁😁😅😅😉😉

avatar debione | 

Ils jouent clairement la transparence Google pour le coup, et c'est a porter à leur crédit... (et c'est assez rare dans ce milieu pour être mentionné).

avatar Yves SG | 

Reprenons le problème à la base :
Google est la première faille de sécurité de tout ce qu’ils touchent de près ou de loin.
La confidentialité de certaines données vous tient à cœur ? Commencez par les éloigner de « don’t be evil » et vous aurez déjà fait un grand pas 😉

avatar DG33 | 

@Yves SG

Concernant Google, ce serait plutôt une fonctionnalité de base 😉

avatar cecemf | 

Ça prouve encore que l’éco system d’Apple est mieux. Il n’y as pas tant de barrières pour pousser une correction. Les vents sur Android se crois plus sécurisée mes en faite non.

avatar Bouledeneige | 

Les utilisateurs apple devraient remercier les types du Google zéro day projet pour toutes les failles qu'ils trouvent. On dit merci Google !

CONNEXION UTILISATEUR